

# **Document Summary**





Preview Claims Preview Full Text Preview Full Image

Email Link: 🖸

**Document ID: JP 2000-089666 A2** 

Title:

**ENCODING/DECODING DEVICE** 

Assignee:

NIPPON TELEGR & TELEPH CORP

Inventor:

**SUGITA MAKOTO** 

US Class:

Int'l Class:

G09C 1/00 A; H04L 9/06 B

**Issue Date:** 

03/31/2000

Filing Date:

09/16/1998

#### Abstract:

PROBLEM TO BE SOLVED: To achieve an encoding/decoding device capable of ensuring guarantee of higher safety than a conventional one.

SOLUTION: In an encoding/decoding device which encodes and decodes data at every block of a constant bit length by plural steps of encoding processing using a common secret key to the decoding and encoding, an encoding function part for realizing an encoding function is configured of non-linear processing parts 301-1-301-4 executing the disturbing calculations by using a common key created from a secret key for an inputted data and outputting the calculation results, and linear processing parts 302-1-302-3 inputting the data outputted from the non-linear processing parts and executing predetermined linear calculations and outputting the calculation results, with the 4 steps of the non-linear processing parts and the 3 steps of the linear processing parts alternately cascaded.

(C)2000,JPO

Copyright © 1993-2000 Aurigin Systems, Inc. Legal Notices

THIS PAGE BLANK (USPTO)

# (19)日本国特許庁 (JP)

# (12) 公開特許公報(A)

(11)特許出願公開番号 特開2000-89666 (P2000-89666A)

(43)公開日 平成12年3月31日(2000.3.31)

(51) Int.Cl.7 G 0 9 C 1/00 H 0 4 L 9/06 識別記号

610

F I

G 0 9 C 1/00

デーマコート\*(参考) 610A 5J104

H04L 9/00 611A

審査請求 未請求 請求項の数1 OL (全 7 頁)

(21)出願番号

特願平10-262073

(22)出願日

平成10年9月16日(1998.9.16)

(71)出願人 000004226

日本電信電話株式会社

東京都千代田区大手町二丁目3番1号

(72)発明者 杉田 誠

東京都新宿区西新宿三丁目19番2号 日本

電信電話株式会社内

(74)代理人 100064908

弁理士 志賀 正武

Fターム(参考) 5J104 AA01 JA10 NA08

# (54) 【発明の名称】 暗号化/復号化装置

#### (57) 【要約】

【課題】従来に比べより高い安全性の保証が可能な暗号 化/復号化装置を実現する。

【解決手段】復号化および暗号化に共通の秘密鍵を用い、複数段の暗号化処理段によって、一定のビット長のブロック毎にデータの暗号化および復号化を行う暗号化/復号化装置において、複数段の暗号化処理段において暗号化関数を実現する暗号化関数部が、入力されたデータに対して秘密鍵から生成された鍵を用いて攪乱演算を行って演算結果を出力する非線形処理部301-1~301-4と、非線形処理部から出力されたデータを入力し、所定の線形演算を行って演算結果を出力する線形処理部302-1~302-3とを、交互に、非線形処理部を4段と、線形処理部を3段、縦段接続して構成されている。



# 【特許請求の範囲】

【請求項1】 復号化および暗号化に共通の秘密鍵を用い、一定のビット長のブロック毎にデータの暗号化および復号化を行う暗号化/復号化装置において、

各段の入力データの半分のビット数を有する第1のデータを所定の暗号化処理を行う暗号化関数部に入力して得られる該暗号化関数部の出力を入力データの他の半分のビット数を有する第2のデータにビット毎にXORして得られる第3のデータと、第1のデータとを出力する暗号化処理段を、互いに複数段接続し、該複数段の暗号化処理段によって暗号化/復号化処理を複数回繰り返し行うことでデータの暗号化又は復号化を行うものであって、

前記暗号化関数部が、

入力されたデータに対して秘密鍵から生成された鍵を用いて攪乱演算を行って演算結果を出力する非線形処理部と、

非線形処理部から出力されたデータを入力し、所定の線 形演算を行って演算結果を出力する線形処理部とを、 交互に、非線形処理部を4段と、線形処理部を3段、縦 段接続してなることを特徴とする暗号化/復号化装置。

### 【発明の詳細な説明】

# [0001]

【発明の属する技術分野】この発明は共通鍵暗号アルゴリズムにおけるプロック暗号方式を用いた暗号化/復号化装置に係り、特に、差分解読法や線形解読法に対して強い暗号化/復号化装置に関する。

# [0002]

【従来の技術】図1に、暗号化および復号化において共 通の秘密鍵を用いる共通鍵暗号の一方式であるデータの 暗号化および復号化を一定のまとまった長さ毎に行うブ ロック暗号方式による暗号化および復号化装置(以下、 暗号化/復号化装置)の基本的な機能構成を示す。図1 に示す暗号化/復号化装置は、j個のそれぞれ暗号化/ 復号化処理を行う暗号化処理段101-1,101-2, …, 101-jから構成されている。この暗号化/ 復号化装置は、64ビット、128ビット等の一定のブ ロック長毎に平文S又は暗号文Tを入力して、複数の暗 号化処理段101-1,101-2,…,101-jに よって暗号化又は復号化処理を複数回繰り返し行い、そ れぞれ入力文と同一のブロック長を有する暗号文U又は 平文Vを出力する。各暗号化処理段101-1,101 - 2, …, 101-jでは暗号化/復号化処理の際に、 秘密鍵のデータに基づく計算処理が行われる。その際、 各暗号化処理段101-1, 101-2, …, 101jでは、1つの複数ビットの秘密鍵からビット単位の転 置、シフト等により生成された異なる複数の鍵が使用さ れる。なお、暗号化と復号化の処理では、各暗号化処理 段101-1, 101-2, …, 101-jで用いられ る複数の鍵の使用順序が互いに逆順となる。また、以下 2

の説明では暗号化と復号化で共通する事項に対して、暗 号化に関連する名称、用語を代表して使用する。

【0003】図2は、図1における暗号化処理段101 -1~101-jの各段における機能構成を示すプロッ ク図である。図2に示す暗号化処理段は、2つの入力に 対してビット毎に排他的論理和を行って出力する排他的 論理和回路(以下、XOR回路) 201-iと、複数ビ ットからなる鍵を用いた暗号化処理を行う暗号化関数部 202-iから構成されている。入力S、あるいは前段 から出力されたデータのプロック長の左半分のビットの Pi-1は、XOR回路201-iへと入力され、暗号 化関数部202-iの出力Riとピット毎に排他的論理 和(以下、XOR)が行われて、後段の右半分の入力と なる出力Qi (= Pi-1 (+) Ri) として出力され る ((+) は X O R を示す)。一方、 各段の入力デー タの右半分のビットのQi-1は、暗号化関数部202 - i へ入力されるとともに、後段の左半分の入力となる 出力 Pi (=Qi-1) として出力される。ここでiは 図1の暗号化処理段の段数に対応する1~jの整数であ り、P0およびQ0は入力データS又はTに、Pj+1 およびQj+1は出力データU又はVに対応するデータ である。

【0004】図2に示す暗号化関数部202-iの従来 の構成の一例を図7に示す。図7は、共通鍵暗号として 広く使用されている「DES暗号」(Data Encryption Standard; 米国NIST (National Institute of Stan dards and Technology) の規格) (以下、従来技術1と 称する) における暗号化関数部の構成を示すプロック図 である。図7に示す暗号化関数部202-iでは、入力 された32ビットのQi-1が拡大転置部801で所定 の転置表(変換表)を用いた拡大転置によって48ビッ トのデータに変換されてXOR回路802へと入力され る。XOR回路802は64ビットの秘密鍵からあらか じめ生成されていたi段用の48ビットの鍵と拡大転置 部801の出力とでXORを行って48ビットのデータ を出力する。XOR回路802の出力は各6ビットずつ に分けられ、8個のSボックスと呼ばれるデータ置換部 (S1~S8) 803-1~803-8へと入力され る。各Sボックス803-1~803-8では、入力さ れた各6ビットのデータに対して所定の置換表に基づく データの置き換えが行われて各4ビットのデータが出力 される。さらに転置部804で所定の転置表に基づいて ビット位置の転置が行われて32ビットの処理結果Ri が求められる。

【0005】なお、「DES暗号」では、図1に示す暗号化/復号化装置の暗号化/復号化の処理は16回の繰り返しである。また、暗号化/復号化装置の全体の構成としては、図1の構成に対して、入力段と出力段に、それぞれ初期転置処理と逆初期転置処理を行うブロックが追加されている。また、各暗号化処理段では、1つの6

3

4ビットの秘密鍵から生成されたそれぞれ異なる16個の48ビットの鍵が使用されるようになっている。

【0006】図8に、図2に示す暗号化関数部202iの他の従来の構成例を示す。図8は、NTT(日本電 信電話株式会社)によって開発された128ビットプロ ックアルゴリズムを採用した「E2」という共通鍵暗号 アルゴリズム (以下、従来技術 2 と称する) における暗 号化関数部の構成を示すプロック図である。図8に示す 暗号化関数部202-iでは、入力された64ビットの  $\vec{r}$ ータQi-1が各8ビットのデータx1, x2, …, x8に分割された後、非線形処理部901へ入力され る。非線形処理部901では、入力されたデータx1, x2, …, x8が、8個のXOR回路によって128ビ ットの秘密鍵から生成された第1の鍵K(1)とXOR されて、その演算の結果が8個のSボックスへそれぞれ 入力される。8個のSボックスでは、予め定められた置 換表を参照することで入力データに対して置換処理が行 われ、各8ビットのデータ z 1, z 2, …, z 8 が出力 される。ここで、非線形処理部901では、Sボックス というデータ置換部において置換処理を行うことで、出 力として、入力データに対して非線形な変換処理を行っ たデータが得られることになる。

【0007】非線形処理部901から出力されたデータ z1, z2, …, z8に対しては、データ変換層902 において下式で示す線形演算処理が行われる。

【数1】

$$\begin{pmatrix} z_{1}^{1} \\ z_{2}^{1} \\ z_{3}^{1} \\ z_{5}^{1} \\ z_{6}^{1} \\ z_{7}^{1} \\ z_{8}^{1} \end{pmatrix} = P \begin{pmatrix} z_{1} \\ z_{2} \\ z_{3} \\ z_{4} \\ z_{5} \\ z_{6} \\ z_{7} \\ z_{8} \end{pmatrix}$$

ここで行列Pは

$$P = \begin{pmatrix} 0 & 1 & 1 & 1 & 1 & 1 & 1 & 0 \\ 1 & 0 & 1 & 1 & 0 & 1 & 1 & 1 \\ 1 & 1 & 0 & 1 & 1 & 0 & 1 & 1 \\ 1 & 1 & 1 & 0 & 1 & 1 & 0 & 1 \\ 1 & 1 & 0 & 1 & 1 & 1 & 0 & 0 \\ 1 & 1 & 1 & 0 & 0 & 1 & 1 & 0 \\ 0 & 1 & 1 & 1 & 0 & 0 & 1 & 1 \\ 1 & 0 & 1 & 1 & 1 & 0 & 0 & 1 \end{pmatrix}$$

【0008】なお、図8に示すデータ変換層902は、 16個のXOR回路から構成されているが、これは上式 30 を実現する一例であって、内部の構成については限定されない。

【0009】データ変換層902から出力された各8ビットのデータz1', z2', …, z8'は、非線形処理部903へ入力される。非線形処理部903では、非線形処理部901と同様にして、8個のXOR回路を用いて入力データz1', z2', …, z8'と秘密鍵から生成された第2の鍵K(2)とでXORを行い、さらに8個のSボックスで予め定めた置換表を参照することで置換処理を行い、処理結果として各8ビットのデータy1, y2, …, y8を出力する。

【0010】非線形処理部903から出力された各8ビットのデータy1, y2, …, y8には、さらに8ビットを単位とする左回転処理が行われる。そして回転処理の結果が暗号化関数の処理結果Riとして出力される。【0011】なお、アルゴリズム「E2」では、図1に示す暗号化/復号化装置が12段の暗号化/復号化処理段を有して構成されている。暗号化/復号化装置の全体の構成としては、図1の構成に対して、入力段と出力段に、それぞれ初期変換処理と最終変換処理を行うプロックが追加されている。また、各暗号化処理段では1つの

5

128ビットまたは192ビットもしくは256ビット の秘密鍵から生成されたそれぞれ異なる12個の鍵が使 用され、初期変換処理と最終変換処理の各ブロックでは 各2個の異なる鍵が使用されるようになっている。

【0012】以上の説明したように、 従来技術1においては、図7に示すように各暗号化関数部においてSボックスを用いる非線形な処理を行うデータ置換部が1段設けられ、さらにこの暗号化関数部を有する暗号化処理段を複数段設けることによって安全性の向上が図られている。従来技術2では、図8に示すように暗号化関数において、Sボックスを用いる非線形処理部で置換されたデータを線形処理部で変換し、さらに、もう一度Sボックスを用いる非線形処理部でデータを置換することにより、さらなる安全性の向上を図っている。

#### [0013]

【発明が解決しようとする課題】しかしながら上記従来の装置は、最大平均差分確率という暗号化の強度評価(最悪値が1、最良値がp<sup>27</sup>、pは0以上1以下の値)として最も一般的な尺度において、従来技術1の場合で1、従来技術2の場合でp<sup>12</sup>であり、何れの場合もこの尺度における理論的最大値であるp<sup>27</sup>に比べて低い安全性しか保証できないという課題があった。

【0014】この発明の目的は、従来技術に比べより高い安全性の保証が可能な暗号化/復号化装置を実現することにある。

# [0015]

【課題を解決するための手段】上記課題を解決するた め、請求項1記載の発明は、復号化および暗号化に共通 の秘密鍵を用い、一定のビット長のブロック毎にデータ の暗号化および復号化を行う暗号化/復号化装置におい て、各段の入力データの半分のビット数を有する第1の データを所定の暗号化処理を行う暗号化関数部に入力し て得られる該暗号化関数部の出力を入力データの他の半 分のビット数を有する第2のデータにビット毎にXOR して得られる第3のデータと、第1のデータとを出力す る暗号化処理段を、互いに複数段接続し、該複数段の暗 号化処理段によって暗号化/復号化処理を複数回繰り返 し行うことでデータの暗号化又は復号化を行うものであ って、前記暗号化関数部が、入力されたデータに対して 秘密鍵から生成された鍵を用いて攪乱演算を行って演算 結果を出力する非線形処理部と、非線形処理部から出力 されたデータを入力し、所定の線形演算を行って演算結 果を出力する線形処理部とを、交互に、非線形処理部を 4段と、線形処理部を3段、縦段接続してなることを特 徴としている。

【0016】この発明によれば暗号化/復号化装置の何れにおいても、暗号化関数部において非線形処理部と線形処理部が交互にそれぞれ4段、3段多段縦段接続された暗号化関数を用いることにより、暗号化関数の最大平均差分確率を小さくすることによって全体としての安全 50

6

性を高めることができる。

#### [0017]

【発明の実施の形態】以下、図1~図6を参照して本発明の実施形態について説明する。本発明による暗号化/復号化装置全体としての基本的な構成は、従来の例として説明した「DES」や「E2」のような他のブロック暗号化方式による構成と同様に、図1に示す構造を有している。すなわち本発明による暗号化/復号化装置は、図1に示すように暗号化処理段101-1~101-jが多段縦段接続された構成を有している。図1では、その多段縦段の初段のデータとして各bビットのブロック長を有する平文S又は暗号文Tが入力され、終段の出力として各bビットのブロック長を有する暗号文U又は平文Vが出力される。

【0018】次に、図1における各暗号化処理段101-1~101-jとしては、従来の技術と同様に図2に示すような構成を用いることができる。各暗号化処理段101-i(iは1~j)には、図2に示すようにプロック長(bビット)をそれぞれ半分に分割したデータPi-1とデータQi-1を入力し、データQi-1を暗号化関数部202-iに入力して得られる出力Riを、XOR回路201-iによってデータPi-1にビット毎(bit-wise)のXORして得られるPi-1(+)Ri(+)はXORを表す)を次段の入力Qiとする。また、Qi-1をそのまま次段の入力Piとして出力するような構造を考える。

【0019】次に、本発明が特徴とする構成である図2 に示す暗号化関数部202-iの構成について説明す る。本発明においては、暗号化関数部202-iを、図 3に示すように、非線形処理部301-1,301-2, 301-3, および301-4と線形処理部302 - 1、302-2、および302-3が交互にそれぞれ 4段と、3段縦段接続された構造とする。非線形処理部 301-1,301-2,301-3,および301-4と、線形処理部302-1, 302-2, および30 2-3では、それぞれ入力された平文 S 又は暗号文 T の プロック長bビットの半分のビットをm分割した値(m は2以上、bの半分以下の整数)と等しいビット数(n ビットとする)を有するm個のデータが並列に入出力さ れる。図3では、入力段となる非線形処理部301-1 の入力データをE1, E2, …, Em、出力段となる非 線形処理部301-4の出力データをF1,F2,…, Fmとしている。

【0020】図3に示す各非線形処理部301-1~301-4は、それぞれ図4に示すように各nビットのデータC1, C2, C3, …, Cmと、各kビットの鍵K1, K1, …, Kmとを入力して置換演算を用いた攪乱演算を行って各nビットのデータD1, D2, D3, …, Dmを出力するm個の演算部401-1~401-

mから構成されている。これらm個の演算部401-1

7

~401-mは、並列して動作する。各 k ビットの鍵 K 1, K1, …, K mは、従来の場合と同様にして1つの 秘密鍵から置換、ビットシフト等の処理によって予め生成しておく。なお、非線形処理部において用いる鍵 K 1, K2, …, K m は、図1の各暗号化処理段101-1~101-j 毎に異なる値とすることが望ましい。また、各暗号化処理段内で、あるいは各非線形処理部内で、鍵 K1, K2, …, K m を同一の値にすることも可能である。

【0021】図5は、図4に示す非線形処理部の内部構 成のより具体的な構成を示すブロック図である。図5に 示す非線形処理部は、各 n ビットの入力 C 1, C 2, …, Cmをそれぞれ入力して、入力データと同じビット 長の各nビットの鍵K1,K2,…,Kmとビット毎の XORをとるXOR回路501-1, 501-2, …, 501-mと、各XOR回路501-1, 501-2, …. 501-mの出力に対して、所定の置換表による置 換処理を行うことでデータに対して攪乱演算を行う置換 部502-1,502-2,…,502-mから構成さ れている。置換部502-1,502-2,…,502 - mは、図7~図8を参照して説明した従来の構成にお けるSボックスと同様の構成を用いることができる。置 換部502-1, 502-2, …, 502-mからは、 それぞれnビットのデータD1,D2,…,Dmが出力 されて、後続する線形処置部へと入力されるか、または 最最終段であれば暗号化関数部の出力となる。

【0022】図6に図3に示す線形処理部302-1~302-3の具体的構成を示す。図6においては行列Aの値を例えば下式のように予め定め、各線形処理部302-1~302-3の入力となる各nビットのデータG1、G2、…、Gmに線形作用させる線形変換を定めている。図6に示す構成では、入力データG1~Gmと、行列Aから、各nビットの出力H1、H2、…、Hmを下式のようにして求める。ただし、下式は、平文Sのようにして求める。ただし、下式は、平文Sのおりにして求める。ただし、下式は、平文Sの分割数mを8、各データG1、G2、…、GmおよびH1、H2、…、Hmのビット数を8ビットとする場合の例である。

【数2】

$$\begin{pmatrix} H_1 \\ H_2 \\ H_3 \\ \bullet \\ \bullet \\ \bullet \\ Hm \end{pmatrix} = A \begin{pmatrix} G_1 \\ G_2 \\ G_3 \\ \bullet \\ \bullet \\ \bullet \\ Gm \end{pmatrix}$$

ここで行列Aは

$$A = \begin{pmatrix} 0 & 1 & 1 & 1 & 1 & 1 & 1 & 0 \\ 1 & 0 & 1 & 1 & 0 & 1 & 1 & 1 \\ 1 & 1 & 0 & 1 & 1 & 0 & 1 & 1 \\ 1 & 1 & 1 & 0 & 1 & 1 & 0 & 1 \\ 1 & 1 & 0 & 1 & 1 & 1 & 0 & 0 \\ 1 & 1 & 1 & 0 & 0 & 1 & 1 & 0 \\ 0 & 1 & 1 & 1 & 0 & 0 & 1 & 1 \\ 1 & 0 & 1 & 1 & 1 & 0 & 0 & 1 \end{pmatrix}$$

【0023】なお、本発明による暗号化/復号化装置は、論理回路によるハードウェアによって実現することもできるし、計算機とその計算機で実行される暗号化/復号化プログラムとの組み合わせによって実現することも可能である。また、暗号化/復号化プログラムは、計算機読み取り可能な記録媒体に記録して、あるいはネットワークを介して頒布することが可能である。

#### [0024]

【実施例】上記発明の実施の形態において最大平均差分確率という安全性評価尺度において j = 8 の場合に実際に計算することにより各置換の最大平均差分確率を p と 定めたとき、暗号化関数部が 2 p 8という理論的最良値 (p8) に近い値を示し、暗号全体として 8 p 24という高い安全性が保証可能であることが確認された。これは従来技術 1、2 の場合と比べて高い安全性が保証可能であることを示している。

#### [0025]

【発明の効果】本発明によれば、4段の非線形処理部と3段の線形処理部を交互に接続してなる暗号化関数部を用いて暗号化処理手段を構成することによって、従来技術に比べ非常に高い安全性の保証が可能な暗号化/復号 化装置を実現することが可能になる。

### 【図面の簡単な説明】

【図1】 ブロック暗号化方式による暗号化/復号化装置の機能構成を示すブロック図である。

【図2】 図1における暗号化処理段の機能構成を示す ブロック図である。

【図3】 本発明が特徴とする図2における暗号化関数部の機能構成を示すブロック図である。

【図4】 図3における非線形処理部の機能構成を示す ブロック図である。

【図5】 図4における非線形処理部の具体的な構成を 10 示すプロック図である。

【図6】 図3における線形処理部の具体的構成を示す\*

\*ブロック図である。

【図7】 従来技術1における暗号化関数部の機能構成を示すプロック図である。

10

【図8】 従来技術2における暗号化関数部の機能構成を示すプロック図である。

# 【符号の説明】

101-1~101-j 暗号化処理段

201-i XOR回路

202-i 暗号化関数部

301-1~301-4 非線形処理部

302-1~302-3 線形処理部







【図8】



THIS PAGE BLANK (USPTO)